web-dev-qa-db-pt.com

Como ter 100% de certeza que uma unidade USB não foi adulterada e não contém malware?

Digamos que você encontre uma unidade USB na rua e deseja ter 100% de certeza de que ela não foi adulterada, nem por meio de software nem modificando seu hardware (adicionando ou modificando componentes, etc.), para que não exista risco zero de malware.

Está formatando o suficiente para ter 100% de certeza de que nenhum malware permanece? Em caso afirmativo, formatá-lo completamente com o processo lento padrão de dentro do Utilitário de Disco no Tails 3.2 é suficiente para isso?

Considere a habilidade técnica mais alta possível do atacante. Não apenas cenários razoáveis ​​ou plausíveis.

18
Norbert

Não há como ter 100% de certeza de que o USB é seguro e que ele não abrigará malware, mesmo que seja apagado. (Se eu fosse assim inclinado, e tinha o conhecimento, um pequeno chip com malware, não ativo, com um tamanho decente stick com porcaria aleatória - após o número X de ciclos de energia, switch chip).

Você deve ter muito cuidado ao conectar qualquer chave USB de origem desconhecida ao seu sistema, pois assassinos USB são uma coisa, e vai matar sua porta USB, e possivelmente o sistema - para contornar isso você pode ser capaz de use um hub USB de sacrifício.

Infelizmente, a maioria dos dispositivos USB são baratos e fáceis de abrir - alguém com alguma habilidade poderia facilmente substituir o interior de um sem indicações externamente visíveis.

30
davidgo

Você assume que está contaminado.

Você não pode ser traído se nunca houve qualquer confiança a ser traída.

E você não sofrerá dano se você assumir que o dano é o que vai acontecer e se preparar para enfrentá-lo.

Remova os discos rígidos, desconecte-se da rede, use uma unidade inicializável

Se você está ansioso em examinar este drive USB e quer evitar malware, você pode fazer isso pegando um computador, removendo todos os seus discos rígidos, desconectando-o de todas as redes (incluindo WiFi) e então inicializando usando um drive USB inicializável . Agora você tem um computador que não pode ser corrompido e que não pode espalhar o conteúdo da unidade USB encontrada.

Agora você pode montar o drive USB encontrado e examinar seu conteúdo. Mesmo que esteja contaminado, a única coisa que o malware atinge é um computador "vazio" com um sistema operacional que você não se importa se for infectado de qualquer maneira.

Determine seu nível de paranóia

Note que mesmo isso não é totalmente "seguro". Suponha que este seja o Perfect Malware ™.

  • Se você inicializar a partir de uma mídia gravável (dispositivo USB, CD/DVD gravável), isso também pode ficar contaminado se for gravável e permanecer no computador quando você inserir a unidade USB corrompida.

  • Praticamente todos os periféricos possuem algum tipo de firmware que pode ser atualizado. O malware pode optar por aninhar-se lá.

  • Você pode acabar com um BIOS corrompido que compromete o hardware para o bem mesmo depois de ter removido a unidade contaminada e desligado.

Então, a menos que você esteja preparado para jogar fora todo o hardware depois, você precisa determinar o quanto você quer examinar esse pendrive e qual preço você está disposto a pagar para 1) ficar seguro e 2) tomar as consequências se as coisas mudarem sai mal?

Ajuste sua paranóia a níveis razoáveis ​​de acordo com os riscos que você está disposto a tomar.

7
MichaelK

Quanto a um hack de hardware, um especialista em eletricidade absurdamente avançado com um alvo específico poderia fazer um circuito lógico que verifica se você está terminando de executar o software de limpeza e, em seguida, injeta algo no computador host e na unidade flash. Eles podem até mesmo fazer a unidade parecer um pouco normal internamente, para um observador casual. Apenas lembre-se, teoricamente, nada é seguro. A segurança é toda baseada no esforço que as pessoas colocam para hacking você, e no esforço que você faz para detê-las.

4
matterny

Em segurança, a resposta para qualquer questão que contenha a frase "100%" é sempre uma grande gordura NÃO.

Simplesmente formatar, sobrescrever, apagar ou qualquer outra coisa que você possa criar não é suficiente. Por quê? Porque em todos esses casos, você sempre tem que passar pelo bastão para fazer isso. Mas, se eu sou um stick USB malvado, e você me diz para me apagar ... por que eu iria cumprir? Eu poderia simplesmente fingir estar ocupado por um tempo e depois dizer "eu sou feito", sem nunca ter realmente feito nada.

Então, por exemplo, o bastão poderia simplesmente ignorar todos os comandos de gravação. Ou, poderia executar os comandos de gravação em um chip flash, espere que você verifique se a gravação realmente apagou tudo e depois troque o chip flash real . O stick USB pode conter um hub USB e, na verdade, ser dois drives, um dos quais só é inserido muito rapidamente enquanto você está apagando o outro (que leva muito tempo, e assim é lógico que você vai deixar seu computador e tomar um café ou algo assim, para que você não tenha chance de perceber).

Além disso, a unidade USB pode nem ser uma unidade USB. Pode ser um teclado USB que digita rapidamente alguns comandos no seu computador. A maioria dos sistemas operacionais não verifica a identidade dos teclados conectados. (Sim, esse ataque faz realmente existir no mundo real.)

Ou pode ser um modem USB 3G… e boom, o seu computador está conectado a uma rede aberta e não segura novamente.

Pode nem ser um dispositivo USB. Pode ser um microfone ou uma câmera e simplesmente usar a porta USB para energia.

Ou pode não estar tentando instalar malware em seu computador, mas simplesmente tentar destruí-lo, por exemplo, por colocando 200V nas linhas de dados .

1
Jörg W Mittag